Vraag

woensdag 3 oktober 2018 11:34

Acties:
  • 0 Henk 'm!
  • Aesculapius
  • Registratie: Juni 2001
  • Laatst online: 02-06 21:51

Aesculapius

Topicstarter
Ik heb volgens de instructies op netwerkje.com mijn CCR ingericht voor IPTV routing van KPN zodat ik de Experiabox met veel liefde een trap uit de meterkast kon geven.

Dit heeft maandenlang prima gewerkt en ik was blij met de oplossing. Sinds enkele dagen kunnen we echter geen tv meer kijken. Het beeld bevriest bij elke zender na 2 seconde. Als ik het goed begrijp is er dan iets aan de hand met de IGMP proxy...maar daar is weinig aan veranderd. Enige dat ik kan bedenken is dat RouterOS een update heeft gehad en er iets is gewijzigd aan de inner-workings. Maar dan had ik van meer mensen alarmsignalen verwacht gehoord te hebben.

Inrichting in het kort:
- CCR via Ether-0 (WAN) aangesloten op NTU kastje
- bridge-lan bevat alle ethernet poorten minus WAN en heeft IGMP snooping enabled staan
- onder de WAN-ether zijn twee VLANs aangemaakt: vlan4 (iptv) en vlan6 (internet)
- de betreffende DHCP opties zijn opgesteld voor de client en server - zowel de CCR als de decoder ontvangt succesvol een IP (decoder: 192.168.10.8, vlan4: 10.230.157.181/22)
- IGMP Proxy ingesteld met downstream op bridge-lan, upstream op 10.142.64.0/18 en 213.75.0.0/16.
- masquerading toegepast op vlan4 voor deze beide ip ranges

Als ik debug logging aanzet op de igmp proxy zie ik regels als:
"Ignoring request from unknown address - "Alternative subnets" configuration may be required"
"Source=192.168.10.8"
"Destination=239.255.255.250"

Geen idee of dat er iets mee te maken heeft.

Tot slot mijn config:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203

# oct/03/2018 11:26:25 by RouterOS 6.43.2
# software id = 7P09-2CFT
#
# model = CCR1009-7G-1C-1S+
# serial number = 7AF1075B84A2
/interface bridge
add arp=proxy-arp fast-forward=no igmp-snooping=yes name=bridge-lan \
    protocol-mode=none
/interface ethernet
set [ find default-name=combo1 ] arp=proxy-arp combo-mode=copper name=\
    combo1-WAN
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] speed=100Mbps
set [ find default-name=ether7 ] speed=100Mbps
set [ find default-name=sfp-sfpplus1 ] advertise=\
    10M-full,100M-full,1000M-full disabled=yes
/interface pptp-client
add connect-to=israel.privateinternetaccess.com name=pptp-PIA user=
/interface vlan
add arp=proxy-arp interface=combo1-WAN name=vlan4-iptv vlan-id=4
add interface=combo1-WAN name=vlan6-internet vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 default-route-distance=0 \
    disabled=no interface=vlan6-internet keepalive-timeout=20 max-mru=1480 \
    max-mtu=1480 name=pppoe-KPN user=
/interface list
add name=LAN
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'192.168.10.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip ipsec peer profile
add enc-algorithm=aes-192,aes-128,3des name=profile_1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
/ip pool
add name=dhcp-pool1 ranges=192.168.10.20-192.168.11.199
add name=l2tp-pool ranges=192.168.11.200-192.168.11.254
/ip dhcp-server
add address-pool=dhcp-pool1 authoritative=after-2sec-delay disabled=no \
    interface=bridge-lan name=dhcp1
/ip ipsec mode-config
add address-pool=l2tp-pool name=cfg1 system-dns=no
/ppp profile
add change-tcp-mss=yes name=openVpn-client only-one=yes use-compression=no \
    use-encryption=required use-mpls=no use-upnp=no
add local-address=dhcp-pool1 name=default-l2tp remote-address=l2tp-pool
/interface ovpn-client
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge port
add bridge=bridge-lan hw=no interface=ether1
add bridge=bridge-lan hw=no interface=ether2
add bridge=bridge-lan hw=no interface=ether3
add bridge=bridge-lan hw=no interface=ether4
add bridge=bridge-lan hw=no interface=ether5
add bridge=bridge-lan hw=no interface=ether6
add bridge=bridge-lan hw=no interface=ether7
add bridge=bridge-lan hw=no interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=all
/interface l2tp-server server
set authentication=mschap2 default-profile=default-l2tp enabled=yes
/interface list member
add interface=bridge-lan list=LAN
add interface=combo1-WAN list=WAN
add interface=pppoe-KPN list=WAN
add interface=vlan4-iptv list=WAN
add interface=vlan6-internet list=WAN
/ip address
add address=192.168.10.1/23 comment=defconf interface=bridge-lan network=\
    192.168.10.0
/ip dhcp-client
add comment="uitgezet op combo1-WAN ivm directe koppeling zonder Experiabox. d\
    hcp zit nu op ppoe-verbinding" dhcp-options=hostname,clientid interface=\
    combo1-WAN use-peer-dns=no
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass,hostname,clientid disabled=no \
    interface=vlan4-iptv use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.10.8 comment="KPN TV Decoder Woonkamer" dhcp-option-set=\
    IPTV mac-address=00:02:9B:DF:1F:F2 server=dhcp1
/ip dhcp-server network
add address=192.168.10.0/23 dns-server=192.168.10.1 gateway=192.168.10.1 \
    ntp-server=192.168.10.1
/ip dns
set allow-remote-requests=yes cache-size=8192KiB servers=\
    1.1.1.1,8.8.4.4,8.8.8.8
/ip firewall address-list
add address=192.168.10.0/23 list=LAN
/ip firewall filter
add action=accept chain=input comment=IpSec dst-port=500,1701,4500 \
    in-interface-list=WAN protocol=udp
add action=accept chain=input comment=IpSec protocol=ipsec-esp
add action=accept chain=input comment="IpSec Authentication" protocol=\
    ipsec-ah
add action=accept chain=input comment="IPTV Multicast" in-interface=\
    vlan4-iptv protocol=igmp src-address=224.0.0.0/8
add action=accept chain=forward comment="IPTV Multicast" in-interface=\
    vlan4-iptv protocol=udp src-address=224.0.0.0/8
add action=accept chain=forward comment="IPTV Multicast" in-interface=\
    vlan4-iptv protocol=udp src-address=224.0.0.0/8
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related routing-mark=!PPTP-VPN
add action=accept chain=input comment=\
    "defconf: Accept established, related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="Accept all from LAN" \
    in-interface-list=LAN
add action=drop chain=input comment="Disable outside DNS requests" \
    connection-state=new dst-port=53 in-interface=pppoe-KPN protocol=tcp
add action=drop chain=input comment="Disable outside DNS or NTP requests" \
    connection-state=new dst-port=53,123 in-interface=pppoe-KPN protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=reject chain=input comment="Protect against KPN block" \
    in-interface=pppoe-KPN protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=input comment="Protect against KPN block" \
    in-interface=pppoe-KPN protocol=tcp reject-with=icmp-port-unreachable
add action=add-src-to-address-list address-list=winbox_stage1 \
    address-list-timeout=1m chain=input comment=\
    "Winbox blacklist add to stage 1" connection-state=new dst-port=8291 \
    in-interface-list=WAN protocol=tcp src-address-list=""
add action=add-src-to-address-list address-list=winbox_stage2 \
    address-list-timeout=1m chain=input comment=\
    "Winbox bruteforce add to stage 2" connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=winbox_stage1
add action=add-src-to-address-list address-list=winbox_stage3 \
    address-list-timeout=1m chain=input comment=\
    "Winbox brute force- add to stage 3" connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=winbox_stage2
add action=add-src-to-address-list address-list=winbox_blacklist \
    address-list-timeout=1w3d chain=input comment=\
    "Winbox bruteforce add to blacklist" connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=winbox_stage3
add action=drop chain=input comment="Drop winbox brute forcers" dst-port=8291 \
    protocol=tcp src-address-list=winbox_blacklist
add action=drop chain=input comment="Drop all remaining WAN connections" \
    in-interface-list=WAN
add action=accept chain=forward comment=\
    "defconf: accept related, established, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment="Drop all WAN not DST NATted" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=redirect chain=dstnat comment=\
    "FORCE DNS TO LOCAL MIKROTIK DNS SERVER" dst-port=53 in-interface-list=\
    LAN protocol=udp to-ports=53
add action=redirect chain=dstnat comment=\
    "FORCE DNS TCP TO LOCAL MIKROTIK DNS SERVER" dst-port=53 \
    in-interface-list=LAN protocol=tcp to-ports=53

add action=masquerade chain=srcnat comment="Masquerade iptv" dst-address=\
    10.142.64.0/18 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="Masquerade iptv" dst-address=\
    213.75.0.0/16 out-interface=vlan4-iptv
add action=masquerade chain=srcnat out-interface=pppoe-KPN
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set sip disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=10.142.64.0/18,213.75.0.0/16 interface=vlan4-iptv \
    upstream=yes
add interface=bridge-lan
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add disabled=yes prefix="L2TPDBG===>" topics=l2tp
add disabled=yes prefix="IPSECDBG===>" topics=ipsec
add topics=igmp-proxy
/system ntp client
set enabled=yes primary-ntp=147.251.48.140 secondary-ntp=193.150.34.2
/system ntp server
set enabled=yes
/system routerboard settings
# Warning: cpu not running at default frequency
set cpu-frequency=600MHz silent-boot=no


Iemand misschien een helder idee van wat hier aan de hand is?

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker

Beste antwoord (via Aesculapius op 03-10-2018 18:16)

woensdag 3 oktober 2018 15:02

  • rexdekoning
  • Registratie: Oktober 2018
  • Laatst online: 02-06 14:01

rexdekoning

Nog even ter aanvulling dit is de oplossing:
Oplossing is om de nieuwe IP reeks (217.166.0.0/16) toe te voegen aan IGMPProxy configuratie

[ Voor 73% gewijzigd door rexdekoning op 03-10-2018 15:21 ]

Alle reacties

woensdag 3 oktober 2018 11:39

Acties:
  • +1 Henk 'm!
  • Willianv
  • Registratie: Juni 2006
  • Niet online

Willianv

Kijk even in het kpn glasvezel topic...
Je moet iets extras doen bij igmp geloof ik.

woensdag 3 oktober 2018 12:43

Acties:
  • 0 Henk 'm!
  • Aesculapius
  • Registratie: Juni 2001
  • Laatst online: 02-06 21:51

Aesculapius

Topicstarter
Te gek, dank. Probleem verholpen.

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker

woensdag 3 oktober 2018 15:02

Acties:
  • Beste antwoord
  • +5 Henk 'm!
  • rexdekoning
  • Registratie: Oktober 2018
  • Laatst online: 02-06 14:01

rexdekoning

Nog even ter aanvulling dit is de oplossing:
Oplossing is om de nieuwe IP reeks (217.166.0.0/16) toe te voegen aan IGMPProxy configuratie

[ Voor 73% gewijzigd door rexdekoning op 03-10-2018 15:21 ]

woensdag 10 oktober 2018 11:36

Acties:
  • 0 Henk 'm!
  • robgardien
  • Registratie: Mei 2017
  • Laatst online: 22-12-2024

robgardien

Erg bedankt voor deze oplossing! Ik had hetzelfde probleem. Hoe ben je tot de oplossing gekomen?

woensdag 10 oktober 2018 13:33

Acties:
  • 0 Henk 'm!
  • adjego
  • Registratie: December 2004
  • Laatst online: 07:48

adjego

wouter2512 in "[KPN Glasvezel] Ervaringen & Discussie - Deel 2"

Home Assistant | ☀️ 2900 Wp PVOutput | 🔋 Tesla Model 3 RWD 2024

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq